Auditoria de certificacion

Auditoría decertificación

Ing. Edwyn Sanders

© FUOC • XP07/92089/00001 Auditoría de certificación

Índice

1. Proceso de auditoría de certificación ..................................... 5

1.1. Ventajas de la certificación ....................................................... 8

1.2. Proceso de auditoría .................................................................. 9

1.2.1. Auditoría documental .................................................... 11

1.2.2. Auditoría in-situ ............................................................. 14

© FUOC • XP07/92089/00001 5 Auditoría de certificación

1. Proceso de auditoría de certificación

El objetivo de los procesos de certificación es verificar la correcta implantación

de las normativas relativas a la gestión de la seguridad de la información, con-

cretamente a la implantación de la norma ISO/IEC 27001 o la UNE 71502.

La normativa ISO/IEC 27001 corresponde a las especificaciones de los sistemas

de gestión de la seguridad de la información. Es decir, indica todos los requisi-

tos que ha de tener el sistema de gestión que una organización establece para

gestionar la seguridad mediante la implantación de controles. Estos controles,

que son un elemento más dentro del sistema de gestión, están recogidos en

la norma ISO/IEC 17799. Pero los controles no están recogidos únicamente

en esa norma ISO. Si la organización estima más útil emplear otro catálogo de

controles como referencia, el SGSI implantado seguiría siendo certificable.

Recordemos que los catálogos de controles, como por ejemplo la ISO/IEC

17799 o COBIT, son otras normativas existentes en el ámbito de la seguridad

de la información y no son auditables. Las organizaciones pueden utilizar es-

tas normas como el marco de referencia con el que diseñar los controles de

seguridad que reduzcan el nivel de riesgo. Al tratarse de catálogos de buenas

prácticas, contienen toda una serie de controles que puede o no ser necesario

implantar en una organización concreta. únicamente tras un proceso de aná-

lisis y gestión del riesgo, la organización realizará una selección de los contro-

les aplicables. Por tanto, no es posible auditar la implantación de catálogos de

controles como la norma ISO/IEC 17799. Son un elemento más, eso sí funda-

mental, de los sistemas de gestión de la seguridad.

De todas formas, las normas que dan los requisitos de los SGSI están basadas en

lo que se establece en los catálogos de buenas prácticas, pero en lugar de indicar

las características de seguridad que se pueden implantar, aportan los aspectos

fundamentales que ha de cumplir el sistema de gestión de la seguridad de

la información para poder dictaminar que es correcto, que cumple con sus

especificaciones y que, por tanto, al estar correctamente implantado, podrán

ayudar a la organización a mantener un nivel de seguridad óptimo.

Los sistemas de gestión de la seguridad de la información de cada organización

no tienen por qué ser iguales, sino que dependerán de las características pro-

pias de cada una. En la ISO/IEC 27001 no se obliga a tener una determinada

configuración para los aspectos de seguridad. La norma indica los requisitos

que el sistema de gestión deberá poseer, y con posterioridad cada organización

determinará cómo tienen que implantar dicho control.


Durante el proceso de certificación, el auditor tratará de verificar que la orga-

nización que posee el sistema de gestión de la seguridad de la información ha

implantado el modelo PDCA.

El modelo PDCA

Recordemos que el modelo PDCA consiste en:

• Planificar. Decidir qué medidas de seguridad han de implantarse.• Hacer. Implantar las medidas en la organización.• Verificar. Trabajar analizando que no sucedan incidentes de seguridad.• Actuar. Realizar cambios en el SGSI en base a las evidencias generadas.

Modelo de sistema PDCA

Es importante que quede claro que el certificador no pretenderá decir si una

organización es más o menos segura, sino que pretende verificar que la orga-

nización realiza una gestión de la seguridad de la información y que posee las

herramientas adecuadas para efectuarla de manera correcta.

El auditor podría dictaminar si un determinado aspecto de la seguridad

de una organización es correcto o incorrecto, pero lo que principalmen-

te querrá verificar es que se han dispuesto las medidas para poder cum-

plir el modelo PDCA.

Como punto de partida de la revisión del auditor, y también de la implanta-

ción de un SGSI, la fase de planificación resulta esencial, tanto por la defini-

ción del alcance del SGSI como por el análisis de riesgos. Al igual que toda la

gestión de la seguridad está basada en el análisis de riesgos, toda la revisión

que hace el auditor se fundamentará en el análisis de riesgos que haya reali-

zado la organización.

Análisis de riesgos

Recordad que el análisis deriesgos permite identificar quécontroles de seguridad han deimplantarse en una organiza-ción según los riesgos ante losque se encuentra expuesta.


Lo que pretende el auditor no es tanto analizar si el análisis de riesgos se ha

hecho correctamente, sino comprobar que se ha realizado metodológicamente

de manera correcta, y asume que los riesgos que ha detectado la organización

son los correctos. Partiendo de estos riesgos, el auditor tratará de verificar que

se han implantado las medidas de seguridad necesarias para reducirlos.

En el caso de que este análisis de riesgos sea muy inadecuado, o que se haya

utilizado una metodología incorrecta (por ejemplo, que no se corresponda con

el alcance del SGSI, o que no se fundamente en "activos", "amenazas" y "vulne-

rabilidades") podrá dictaminar que el análisis de riesgos es incorrecto. Pero en

circunstancias normales el auditor asumirá que los riesgos que la organización

ha considerado son los que realmente le afectan.

La organización tendrá que mostrar y defender delante del auditor la

implantación de unas determinadas medidas de seguridad en base a los

riesgos detectados.

Volviendo al modelo PDCA, el auditor querrá verificar que la organización

mejora o actúa en base a los indicadores que haya establecido su sistema de

gestión de la seguridad de la información.

Tal y como se explicó, a la hora de las normativas de seguridad, existen dos

visiones para realizar los cambios en el sistema de gestión de la seguridad de

la información, en base a:

• Registros: evidencias de funcionamiento del SGSI.

• Métricas e indicadores: índices o valores que se pueden emplear para eva-

luar la evolución del funcionamiento del SGSI.

Concretamente, los SGSI que están basados en la Normativa ISO/IEC 27001

se fundamentan en la creación tanto de registros, como de métricas e indi-

cadores. Por lo tanto, la organización ha de definir una serie de indicadores

que determinan en qué momento el sistema de gestión de la seguridad de la

información no cumple con las expectativas creadas por la dirección de la or-

ganización, y deberá establecer las métricas, o formas de cálculo, que se con-

frontarán con los indicadores.

Durante este proceso de auditoría, se tratará de verificar que existen estos in-

dicadores, que son conocidos por la organización y que se utilizan para la rea-

lización de los cambios en la seguridad.


1.1. Ventajas de la certificación

De manera general, la implantación de un sistema de gestión de seguridad de

la información según alguna de las normas (UNE 71502 o ISO/IEC 27001) da

a las organizaciones, independientemente de su tamaño o sector económico

en el que realicen su actividad, las siguientes ventajas:

• Conocer y analizar sus riesgos, identificando amenazas, vulnerabilidades

e impactos en la actividad empresarial.

• Prevenir, eliminar o reducir eficazmente el nivel de riesgo mediante la im-

plantación de los controles adecuados, preparándose ante posibles emer-

gencias y garantizando la continuidad del negocio.

• Asegurar su compromiso con el cumplimiento de la legislación vigente

sobre protección de datos de carácter personal, servicios de la sociedad de

la información, comercio electrónico, propiedad intelectual y, en general,

con aquélla relacionada con la seguridad de la información.

• Planificar, organizar y estructurar los recursos asignados a seguridad de la

información.

• Definir objetivos y metas que permitan aumentar el grado de confianza

en la seguridad.

• Establecer procesos y actividades de revisión, mejora continua y auditoría

de la gestión y tratamiento de la información.

• Integrar la gestión de la seguridad de la información con el resto de siste-

mas de gestión implantados en la empresa.

• Aportar un valor añadido de confianza en la protección de la información,

mejorando su imagen de cara a otras empresas y convirtiéndose en un

factor de distinción frente a la competencia.

Las anteriores ventajas al implantar un SGSI repercuten directamente en el

funcionamiento interno de las organizaciones; sin embargo, existe el proble-

ma de transmitir al mercado la mejora que supone esta nueva forma de ges-

tionar de la seguridad.

La necesidad de certificar la seguridad surge de la dificultad de responder a la

pregunta de en qué manera las organizaciones pueden aportar a los clientes,

proveedores, y a la sociedad en general, la confianza necesaria de que son ca-

paces de cumplir sus requisitos de forma segura. Esto es especialmente crucial

cuando el servicio o el bien que las organizaciones se intercambian no es ma-

terial sino que se trata de simple y pura información.


La única forma que la organización tiene de contestar esta pregunta es supe-

rando una revisión independiente de las medidas de seguridad que tiene im-

plantadas y que certifica que lo está haciendo bien, de acuerdo a un esquema

con el que todos están conformes.

Con estas certificaciones se obtienen las siguientes ventajas:

• Externas

– Aumentar la credibilidad y confianza de clientes y administración.

– Facilitar el intercambio y acceso a mercados externos.

– Evitar o disminuir evaluaciones sobre nuestros productos o servicios.

– Ser un elemento diferenciador con la competencia.

– Fidelizar a los clientes.

– Facilitar la compra al consumidor.

• Internas

– Proporcionar confianza a las personas de la organización.

– Reducir costes.

– Aumentar la motivación del personal.

– Mejorar la satisfacción del cliente interno.

– Mejorar la satisfacción del personal.

– Mejorar los procesos.

– Mejorar el producto o servicio.

Durante el proceso de auditoría lo que pretende el auditor no es encontrar

incumplimientos en las medidas de seguridad implantadas, sino:

• Tratar de evaluar la efectividad de la organización con respecto al uso de

los recursos.

• Evaluar los sistemas y procesos que se desarrollan en la organización.

• Detectar y prevenir posibles errores y fraudes.

• Evaluar el riesgo y los sistemas de seguridad de las organizaciones.

• Evaluar los planes de contingencia y recuperación en caso de desastres.

1.2. Proceso de auditoría

El proceso de auditoría que aplica cada organización de certificación puede

variar en ciertas fases y en la duración o importancia que se dé a cada una.

Sin embargo, podemos asegurar que el proceso completo para realizar una

auditoría de certificación incluye las fases que se muestran en el diagrama

siguiente:


Proceso de auditoría de certificación en España


Tal y como se ha comentado repetidamente, la auditoría certificará la situa-

ción del SGSI en un momento dado, por lo que todas las organizaciones de

certificaciones otorgan su sello de certificación con una validez definida en

el tiempo (habitualmente 3 años). Durante este periodo de validez, la organi-

zación certificada deberá pasar auditorías de seguimiento para demostrar que

su SGSI sigue cumpliendo con la norma de referencia. Pasado el tiempo de

validez de la certificación, se deberá someter a una auditoría de renovación. El

alcance de las auditorías de seguimiento es mucho más reducido que el de la

de certificación o renovación, mientras que la de certificación y de renovación

tienen un alcance idéntico o al menos muy similar.

Como hemos visto en el anterior diagrama, todas las auditorías de los sistemas

de gestión de la seguridad de la información se dividen en dos etapas secuen-

ciales, es decir, que si no se supera la primera no se puede empezar la segunda.

El objetivo es analizar la eficacia y la efectividad de este SGSI en base a

los riesgos ante los que se encuentra expuesta la organización.

1.2.1. Auditoría documental

Esta primera fase consiste en la revisión por parte del equipo auditor de toda

la documentación que forma parte del sistema de gestión de la seguridad de

la información.

El objetivo es verificar que la organización ha implantado los controles en base

a los riesgos que ésta posee y que además estos controles están de acuerdo con

lo que se indica en las normas: ISO/IEC 17799:2005 y la ISO/IEC 27001.

La mínima documentación que se va revisar es la siguiente:

• Política de seguridad de la organización

• Alcance de la certificación

• Análisis de riesgos de la organización

• La selección de controles de acuerdo con la declaración de aplicabilidad

• Revisión de la documentación de los controles seleccionados

Política de seguridad de la organización

Esta política de seguridad podrá no estar desarrollada en un único documento

e incluso el auditor verificará que la política de seguridad pueda estar resumi-

da en un único folio. Sí que se verificará que esté a disposición de todos los

trabajadores de la organización.


El auditor querrá verificar que se hace mención a la existencia de otra docu-

mentación relativa al SGSI y que ésta se distribuye en base a la necesidad de

conocimiento de los trabajadores.

En pocas palabras, se revisará:

• La definición de la seguridad

• El soporte de la dirección a la implantación del SGSI

• Las explicaciones breves sobre políticas, principios, prácticas y cumpli-

mientos de seguridad

• La definición de responsabilidades

• Las referencias a otros documentosAlcance de la certificación

Este alcance condiciona la certificación y el desarrollo de las auditorías; el au-

ditor únicamente revisará lo referente a este alcance y todo lo que pueda estar

fuera de él no será revisado.

En el caso de que se realice un cambio en el alcance de la certificación, se

tendría que rehacer totalmente la auditoría.

Análisis de riesgos de la organización

El auditor prestará especial atención al análisis de riesgos. Para empezar ten-

drá que estar formalmente aceptado por la dirección de la organización y es

obligatorio que esté documentada tanto la metodología utilizada, que debe

ser coherente con la complejidad de la organización, como los resultados de

dicho análisis de riesgos.

El auditor ha de determinar si el análisis de riesgos cubre todo el alcance defi-

nido por la organización y si es aceptable en función de los activos y la natu-

raleza de la organización. También tiene que revisar que el análisis de riesgos

y la gestión del mismo tiene en cuenta los cambios y si está actualizado.

La selección de controles de acuerdo con la declaración de aplica-bilidad

El auditor, en base a los riesgos analizados, determinará si se han seleccionado

los controles adecuados para reducirlos. Asimismo, también tendrá que verifi-

car que todos esos controles de seguridad quedan reflejados en la declaración

de aplicabilidad y que la dirección aprueba el riesgo residual resultante de im-

plantar estos controles.

En este sentido, se tendrá que defender, ante el auditor, la no implementación

de un control; los motivos pueden ser:

• No existe un riesgo que lo justifique

• Falta de presupuesto

Alcance limitado

Tal y como se ha comentado,es posible que un SGSI no in-cluya la totalidad de la organi-zación, sino que podría definir-se un alcance de un determi-nado proceso o un área con-creta de la organización.


• No hay viabilidad tecnológica

• No se puede implantar por falta de tiempo

• No es aplicable

Las razones para excluir controles deben ser sólidas y coherentes.

Ejemplo de extracto de una declaración de aplicabilidad

Control Sí/No

Justificación

6.3.1. Comunicación de las incidenciasde seguridad

SÍ Es imprescindible para detectar las inci-dencias en un estado temprano y una delas bases para el proceso de mejora conti-nua.

7.1.5. áreas aisladas de carga y descarga NO No es aplicable, ya que la organizaciónno dispone de áreas de carga y descarga.

8.7.2. Seguridad de soportes en tránsito NO No es aplicable, ya que la organizaciónno envía soportes físicos con informaciónsensible o confidencial.

El documento de declaración de aplicabilidad relaciona el análisis de riesgos

con la situación de la seguridad, tanto para los auditores externos como in-

ternos. Junto con el alcance y la política, constituye la base de la auditoría

documental.

El auditor comprueba la consistencia de los planteamientos referentes a la se-

guridad entre los tres documentos.

Revisión de la documentación de los controles seleccionados

Deben documentarse todos los controles seleccionados por parte de la organi-

zación, retirar la documentación obsoleta y comprobar que la documentación

cumple las siguientes condiciones:

• Está fechada y disponible.

• Dispone de control de versiones.

• Aparecen reflejados los diferentes puntos de la Normativa ISO/IEC 17799.

En base a esta revisión de la documentación, podrían llegar a proponerse tres

situaciones:

• El�auditor�detecta�grandes�no�conformidades.�En este caso, el auditor

rechaza la certificación y propone a la empresa auditada que rehaga la

documentación del SGSI y que, pasado un tiempo, vuelva a requerir el

proceso de auditoría.

• El�auditor�detecta�no�conformidades�menores.�En estos casos, el auditor

propone a la organización auditada que exponga una serie de soluciones


para estas no conformidades. Será el auditor quien se encargue de decidir

si estas soluciones previstas resolverán estas no conformidades.

El auditado tendrá que proponer no sólo la solución, sino también un

tiempo en el que se resolverá dicha no conformidad.

En el caso de que el auditor decline estas soluciones, se indicará que tendrá

que volver a solicitar la auditoría y, en el caso de que las soluciones que

plantea la organización sean aceptadas por el auditor, procederá a requerir

el paso a la segunda fase de la auditoría.

• El�auditor�no�detecta�no�conformidades.�En estos casos, el auditor pro-

pone a la organización que pase a la segunda fase de la auditoría.

La revisión de la documentación se realiza en las instalaciones del equipo au-

ditor y en ningún momento tendrá que estar presencialmente en las instala-

ciones y en contacto con la organización auditada.

El informe de auditoría de esta primera fase se enviará a la organización para

que la reciba y actúe en consecuencia.

1.2.2. Auditoría in-situ

La segunda fase de la auditoría se desarrolla en las instalaciones de la organi-

zación auditada y en ella el auditor realizará entrevistas para verificar que lo

que se indica en la documentación revisada refleja la situación real de la or-

ganización.

Entre la revisión documental y esta segunda fase deben pasar obligatoriamente

entre tres y seis semanas, y el objetivo es:

• Confirmar que la organización cumple con sus políticas y procedimientos.

• Comprobar que el SGSI desarrollado es conforme con las especificaciones

de la norma.

• Verificar que el SGSI está logrando los objetivos que la organización se ha

marcado.

Planificación de la auditoría

El proceso de auditoría de los controles puede no ser exhaustivo y, antes de

iniciar la auditoría presencial, el equipo auditor podrá realizar una selección

de los controles que van a ser auditados. En este sentido, la muestra deberá:

• Incluir todos los controles críticos.

• Seleccionar controles que afecten a las actividades más importantes de la

organización.

• Seleccionar controles de todas las secciones.

• Seleccionar los controles de forma que se auditen todos los departamentos

involucrados en el SGSI.


• Dar prioridad a las áreas de mayor riesgo.

• Si no se encuentran problemas serios, se auditarán un 20% de los controles

aplicables.

Una vez se ha realizado la muestra de controles, el equipo auditor elaborará

un plan de auditoría que deberá incluir:

• Alcance y objetivo de la auditoría.

• Equipo por parte de la entidad y del solicitante.

• Personal del solicitante con responsabilidad dentro del área afectada.

• Documentos de referencia.

• Áreas o departamentos que se auditarán.

• Muestras de controles que se auditarán.

• Agenda para las reuniones.

• Contenido y estructura de los informes.

Con anterioridad al desarrollo de la auditoría in-situ, el plan de auditoría será

presentado al auditado para solicitar su conformidad.

Realización de la auditoría

Una vez aprobado por el solicitante el plan de auditoría, se concretarán las

fechas exactas para la visita del equipo auditor a las instalaciones del solici-

tante. En estas revisiones, el equipo auditor se deberá centrar en los siguientes

aspectos:

• El análisis de riesgos.

• La declaración de aplicabilidad.

• Los objetivos que persigue la organización.

• Cómo se monitoriza/mide, y se informa y mejora.

• Las revisiones del SGSI y de la seguridad.

• El grado de implicación de la dirección.

• La coherencia entre políticas, análisis de riesgos, objetivos, responsabili-

dades, normas, procedimientos, datos de rendimiento y revisiones de se-

guridad.

Durante esta segunda fase de la auditoría el equipo auditor deberá realizar

una visita a las instalaciones de la organización (por lo menos del alcance a

certificar) y comprobará que los controles que ha seleccionado en la muestra

cumplen con lo exigido en el estándar.

Durante la realización de estas auditorías, los miembros del equipo auditor

no podrán tocar ninguna máquina, pero podrán solicitar a los empleados de

la organización que realicen las actividades que quieren evaluar para buscar

evidencias que permitan decidir si un control está correctamente implantado

o no.


Hay que tener en cuenta que el objetivo del auditor no es encontrar no

conformidades (errores) en la organización, sino tratar de determinar si

el sistema de gestión de la seguridad de la información cumple con lo

establecido en la norma.

Para la ejecución de estos procesos, el equipo auditor convocará reuniones con

los miembros seleccionados por la organización para extraer la información

necesaria y verificar la correcta o incorrecta implantación de los controles de

seguridad establecidos por la organización.

Finalmente, el equipo auditor elaborará informes sobre lo observado durante

las entrevistas y redactará documentos de recomendaciones –si procede. Por

último, convocará una reunión con la dirección de la organización para expli-

car y comunicar lo observado durante esta segunda fase, y comunicarles los

resultados de la auditoría.

Entrevistas

En esta segunda fase, el auditor busca evidencias objetivas sobre la implanta-

ción y el funcionamiento de los controles que conforman el sistema de gestión

de la seguridad de la información.

Estas evidencias pueden ser información obtenida a partir de los registros de

actividad (logs), lo importante es que se base en medidas, en pruebas o en la

observación y que sea verificable.

El auditor está capacitado para solicitar al personal de la organización

que le muestre cómo se han generado las evidencias.

Estudio de las evidencias

Para comprobar cómo se han generado las evidencias, el equipo auditor puede utilizarlas siguientes técnicas:

• Preguntas a los empleados• Observación• Revisión de documentos o registros• Muestreo• Resumen, análisis o evaluación

La calidad de la entrevista de auditoría dependerá de la habilidad del auditor

para realizar buenas preguntas. En este caso debe hacerse sentir cómodo al

auditable para que no se sienta interrogado.


El tipo de preguntas que se hagan deben ser abiertas de forma que el auditado

tenga que explicar ampliamente cómo realiza las diferentes acciones. Sólo pa-

ra verificar aspectos muy concretos pueden hacerse preguntas cerradas cuya

respuesta sea un "sí" o un "no".

Otro tipo de preguntas son las dirigidas, que buscan respuestas rápidas por

parte del auditado: se le guía en la respuesta.

Otros tipos de preguntas

Las siguientes son otros tipos de preguntas que se pueden hacer:

• Preguntas de opinión• Preguntas de investigación• Preguntas no-verbales (lenguaje corporal)• Preguntas repetidas• Preguntas sobre situaciones hipotéticas

El objetivo de las entrevistas es extraer todas las evidencias necesarias

para verificar que la documentación entregada al auditor en la primera

fase refleja cómo está actuando la organización.

Cierre de la auditoría

Al final de la auditoría, el equipo auditor debe mantener una reunión con el

solicitante para:

• Agradecer su colaboración.

• Recordar nuevamente el objetivo y alcance de la auditoría.

• Dar un resumen del resultado de la auditoría.

• Informar de las recomendaciones que va a dar el equipo de auditoría.

• Preguntar si el solicitante tiene alguna cuestión que quiera aclarar.

• Recoger la conformidad del solicitante.

• Cerrar la auditoría.

Las conclusiones y el informe de auditoría deberán basarse en:

• Las dos etapas de la auditoría conjuntamente.

• Las no conformidades encontradas.

• La documentación, implantación y efectividad del SGSI.

• Las fortalezas y debilidades de los departamentos respecto de las secciones

de la norma ISO/IEC 17799:2005.

• El compromiso de la dirección con la mejora continua.

Ejemplos de preguntas

• ¿Quién (lo hace)?• ¿Cada cuánto (se hace)?• ¿Cómo (se hace)? Muéstre-

melo• ¿Dónde (se hace)? Mués-

tremelo• ¿Cuándo (se hace)?


En este punto, al igual que al final de la primera fase de la auditoría se pueden

producir tres decisiones:

• El�auditor�detecta�grandes�no�conformidades.�En este caso, el auditor

rechaza la certificación. Informa de las no conformidades graves que justi-

fica el rechazo. Propone a la empresa auditada que mejore la implantación

del SGSI y que pasado un tiempo vuelva a requerir el proceso de auditoría.

• El�auditor�detecta�no�conformidades�menores.�En este caso, el auditor

solicita a la organización auditada que proponga una serie de soluciones

para estas no conformidades. Será el auditor quien se encargue de decidir

si estas soluciones previstas solucionarían las no conformidades.

El auditado tendrá que proponer no sólo la solución, sino también un

tiempo en el que se resolverá la no conformidad.

En el caso de que el auditor rechace estas soluciones, se le indicará que

tendrá que volver a solicitar la auditoría. En el caso de que las soluciones

que plantea la organización sean aceptadas, el auditor procederá a requerir

el paso nuevamente a la segunda fase de la auditoría.

• El�auditor�no�detecta�no�conformidades.�En este caso, el auditor propone

la concesión de la certificación a la organización.

En función de lo anterior el equipo auditor debe emitir la recomendación:

• Se recomienda el registro si se considera que el SGSI es conforme con la

norma.

• Se recomienda revisión a la espera de recibir un plan aceptable de acciones

correctoras en el caso de que se hayan encontrado no conformidades.

• Se recomienda volver a auditar parcialmente el SGSI si se han encontrado

no conformidades mayores en un área concreta.

• Se recomienda volver a auditar si se han encontrado no conformidades

mayores en más de un área.

La decisión de la certificación la toma el Comité de Certificación, que

se basará en la información recogida durante las dos etapas del proceso

de auditoría. Los miembros del Comité de Certificación pertenecen a la

organización auditora, pero los integrantes del equipo auditor no pue-

den participar en la toma de decisión final.

En el caso de que la recomendación realizada por el equipo de auditoría

sea el rechazo de la certificación, el Comité de Certificación no deberá

cambiar su criterio; en cambio, si la recomendación es la aprobación de

la certificación, el Comité puede denegarla.


En caso de que se emita el certificado, la entidad remitirá al solicitante una

carta o diploma indicando como mínimo:

• Nombre y dirección de la organización

• Alcance de la certificación

• Fecha de emisión del certificado y su periodo de validez

• Versión de la declaración de aplicabilidad

Una vez que se ha obtenido la certificación, se entregará el certificado y

se entrará en un ciclo de revisión de la certificación: de forma anual se

realizará una auditoría parcial (seleccionando controles concretos). Esta

certificación estará vigente durante 3 años.

En el caso de que durante una de las revisiones el auditor detecte que existen

graves problemas de seguridad o no conformidades importantes, puede llegar

a retirar el certificado.

Education

Auditoria de certificacion